Não consigo renovar, logo depois do bug reportado pelo Lets Encrypt

Por favor, preencha todos os campos abaixo para que nós possamos ajudar você. Obs.: você deve indicar seu nome de domínio para receber ajuda. Os nomes de domínio dos certificados emitidos são divulgados nos logs da Transparência de Certificados (por exemplo, https://crt.sh/?q=example.com). Assim, não indicar seu nome de domínio não o mantém em segredo, mas torna a nossa ajuda mais difícil.

Posso ler respostas em inglês: Sim

Meu nome de domínio é: petscarentes.app

Executei esse comando: sudo docker-compose run --rm --entrypoint "
certbot certonly --webroot -w /var/www/certbot
–email william.borba@willcode.com.br
-d petscarentes.app
–rsa-key-size 4096
–agree-tos
–force-renewal" certbot

Produziu essa saída: Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None


Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let’s Encrypt project and the non-profit
organization that develops Certbot? We’d like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.


(Y)es/(N)o: y
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for petscarentes.app
Using the webroot path /var/www/certbot for all unmatched domains.
Waiting for verification…
Challenge failed for domain petscarentes.app
http-01 challenge for petscarentes.app
Cleaning up challenges
Some challenges have failed.

IMPORTANT NOTES:

  • The following errors were reported by the server:

    Domain: petscarentes.app
    Type: connection
    Detail: Fetching
    http://petscarentes.app/.well-known/acme-challenge/q7Fo9_FQnzgrP7GbOpxi1Vpnxdhid3LLrTzPa0RLQs8:
    Connection refused

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you’re using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.

  • Your account credentials have been saved in your Certbot
    configuration directory at /etc/letsencrypt. You should make a
    secure backup of this folder now. This configuration directory will
    also contain certificates and private keys obtained by Certbot so
    making regular backups of this folder is ideal.

Meu servidor web é (com versão): nginx:1.17

O sistema operacional no meu servidor web é (com versão): Ubuntu 18.04

O serviço de hospedagem do meu site (se aplicável) é: Amazon

Posso acessar um shell root na minha máquina (sim ou não, ou não sei): Sim

Uso um painel de controle para administrar meu site (não, ou indique o nome e a versão do painel de controle): Não.

Como disse no título recebi vários alertas de um bug nos certificados, e eles foram expirados, e agora não estou conseguindo renovar, como sempre fiz por vários meses.

O log de erro é muito estranho, como se ele não identifica-se que o domínio está apontando para o servidor, o que na verdade está conforme teste de ping, e os DNS estão todos certos, não alterei nada, simplesmente o certificado não que mais renovar.

Também apaguei todos os arquivos do certificado, “para fazer novamente” um certificado do zero, e a resposta é sempre a mesma.

Alguma dica?

Is your webserver listening on port 80 and serving files from this path?

It finally worked, I believe it was a mistake on my part.
After the certificate was revoked, my webserver was configured only for SSL, and with port 80 disabled, which is the standard for domains of the type “.app”, so the certbot was never able to access port 80 to “validate” the domain .

If someone experiences the least problem, temporarily disable SSL on your server, create or renew your certificate manually, and then on your webserver (apache or nginx) enable SSL access again (443).

it will certainly work.

Thank you and good work.

You don’t need this – your solution won’t allow for automatic renewals. Just listen on port 80 too and serve a redirect (without ssl)

If you want to avoid having your webserver on port 80, and you are sure it’s not, switch from --webroot to --standalone (add 80:80 in services.certbot.ports of your docker-compose.yml)

1 Like